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Procede, systeme, dispositif destines a prouver P authenticity d'une 
entite et/ou Pint£grite et/ou Pauthenticite d'un message. 

La presente invention concerne les precedes, les systemes^ainsi -que les 
dispositifs destines a prouver 1 'authenticate >d'une entity et/ou Pint6grit6 
et/ou Pauthenticit£*d'un message. 

Le brevet EP 0 3 1 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
d&ignant par les termes : "brevet GQ" ou w procede GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le procede GQ, une entite appel6e ** autorite de confiance " attribue 
une identity k chaque entit6^appel6e " t£moin " et en calcule la signature 
RSA; durantvun^ -processus de personnalisation, Pautorite de confiance 
donne* identit6*et*signature au^temoin^P£fr-4a suite, le temoin-proclame : 
" Void mon identity ; j'en connais la signature RSA. 99 Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Gr&ce a la cle 
publique de verification RSA distribute par Pautorite de confiance, une 
entity appelee " controleur" verifie sans en prendre connaissance que la 
signature RSA correspond a Pidentit6 proclam6e. Les mecanismes utilisant 
le proced6 GQ se deroulent " sans transfert de connaissance Selon le 
precede GQ, le temoin ne connait pas la cl6 privee RSA avec laquelle 
Pautorite de confiance signe un grand nombre d'identites. 
La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si 4a technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas une equivalence, loin s'en faut, 
comme le dtmontrenfr les attaques dites "multiplicatives" contre les 
diverses normes de signature numerique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
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performances par rapport a la technologie RSA ; d' autre part, Sviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois Equivalence. Avec la technologie GQ2, la charge 
de travail est r6duite, tant pour Tentite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients presentes par la technologie RSA. 
Le procede GQ met en ceuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ayant sensiblement la 
meme taille 61ev6s k des puissances de Tordre de 2 16 + 1. Or les 
injfrastructures xnicro&ectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs aritbmetiques. La charge de 
travail U6e aux multiples operations arithmetiques impliquees par des 
precedes tels que le procede GQ, entraine des temps de calcul qui dans 
certains cas s'averent p^nalisant pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. II est rappel6 ici, qu'en 
cherchant k accroitre la securite des cartes de paiement, les autorit6s 
bancaires posent un probleme particulierement delicat a resoudre. En efiFet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
secxxrit6 en utilisant des cles de plus en plus longues et distinctes pour 
chaque carte tout en evitant que la charge de travail n' entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particulier dans la mesure ou, en outre, il convient de tenir compte de 
T infrastructure en place et des composants microprocesseurs existants. 
La technologie GQ2 a pour objet d'apporter une solution a ce probleme 
tout en renfor^ant la secxirite. 



Procede 

Plus paftieulierement, Tinvention boncerne un precede ^destine^ prouver a 
une entite contrSleur, 

- Fauthentieite d'une entite et/ou 

- Fint6gidte d'un message^M assoei&a cette entity 

Cette preuve est 6tablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q l9 Q 2 , .•. Q m et publiques G 15 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitu6 par le produit de f facteurs premiers p 19 
p 2 , ... p f (f 6tant superieur ou egal a 2), 

- un*exposant publicly 

Ledit module, ledit exposant et lesdites valeurs sont lies* par des relations 
du type : 

Gj . Qj v = 1 . mod n ou Gf = Q s v mod n 
Ledit exposant v est tel que 

v = 2 k ^ 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique G t est le carr6 g 2 d'un nombre de base & inferieur 
aux f facteurs premiers p 19 p 2 , ... p f . Le nombre de base g s est tel que : 

les deux equations : 

x 2 = gj mod n et x 2 = -&modn 
n'ont pas de solution en x dans l'anneau des entiers modulo n 
et tel que : 

l'equation : 

x v = g| 2 mod n 

a des solutions en x dans l'anneau des entiers modulo n . 

Ledit precede met en oeuvre selon les etapes ci-apres d6finies une entit6 

appelee temoin. Cette entite dispose des f facteurs premiers Pi et/ou des 



4 



parametres des restes chinois des facteurs premiers et/ou du module public 
m et/ou des m valeurs privees Qj et/ou des f.m composantes Q h j (Q^ j s Qj 
mod pj) des valeurs privees Q t et de l'exposant public v . 
Le temoin calcule des engagements R dans l'anneau des entiers modulo m. 
Chaque engagement est calcule : 

° soit en effectuant des operations du type 

R = r v mod m 
ou ir est un alea tel que 0 < r < n 9 

° soit 

00 en effectuant des operations du type 

Ri^r^inmodlpi 

ou T| est un al6a associe au nombre premier tel que 0 < r t < pj , chaque r, 
appartenant a une collection d'aleas {r x , r 2 , r f } , 

00 puis en appliquant la methode des restes chinois. 
Le temoin re$oit un ou plusieurs defis d. Chaque defi d comporte mm entiers 
d| ci-apr6s appeles defis elementaires. Le temoin calcule a partir de chaque 
defi d une reponse B>, 

0 soit en effectuant des operations du type : 

Bs FoQ, dI .Q 2 000 Q m d ™ mod m 

0 soit 

00 en effectuant des operations du type : 

= *i . Q u dl . Qia ^ • ° • QW mod Pi 
°p puis en appliquant la methode des restes chinois. 
Ledit precede est tel qu'il y a autant de reponses D que de defis d que 
d' engagements R„ Chaque groupe de nombres R, d, B constitue un triplet 
note {R, d 9 D}. 

Cas de la preunve de I'auatfaemticitS d'uume enntite 
Dans une premiere variante de realisation le precede selon F invention est 
destine a prouver Tauthenticite d'une entite appel6e d&nonstrateur k une 



entite appelee controleur. Ladite entite demonstrateur comprend le t&noin. 
Lesdites entites demonstrateur et controleur executent les etapes 
suivantes: 

• etape 1 : acte d 9 engagements 

A chaque appel, le temoin caleule chaquje engagement R en-appliquant le 
processus specifie ci-dessus. Le demonstrateur transmet au controleur tout 
ou partie de chaque engagement R. 

• etape 2 : acte de defi d 

Le controleur, apres avoir regu tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et 
transmet les defis d au demonstrateur. 

• ltap&*3 : acte de^r^ponse D » 

Le temoin calcule des reponses D a ipartir des defis*d en appliquant le 
processus sp<£cifi6 ci-dessus . 

• etape<4 acte de controle^ 

Le demonstrateur transmet chaque reponse^D au controleur. 

Premier cas**: le demonstrateur^. a transmis unev partie^de chaque 

engagement R 

Dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques G l9 G 2 , 
G m , calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a ime relation du type : 

R' = Gi dl .G 2 d2 ..„G m dm .D v modn 
ou a une relation du type, 

R' = D v / G t dl . G 2 d2 . . G m *■» rmod n . 
Le controleur^verifie que chaque engagement reeonstnuit R' reproduit tout 
ou partie-de chaque fngagemenyR qui^ui a Qt^teMism^v 
Deuxieme cas : le demonstrateur a transmis Tint6gralit6 de chaque 
engagement R 



Dans le cas ou le demonstrates a transmis Pintegralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G„ G 29 ... 
G m , verifie que chaque engagement R satisfait a une relation du type : 
RsG 1 d, .G 2 d2 .oooG m dm o W mod m 

ou a une relation du type, 

RsB v /G l dl oG 2 d2 .ooX m dm ,modi. 
Cas die Ra prewve die Fimttegiriilte d 9 Mnn message 
Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le procede selon P invention est destine a prouver a une 
entite appelee controleur Pintegrite d'un message M assocte a une entite 
appelee demonstrateur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes 
suivantes: 

o ettape 1 : actte-d'enngageinnemtR 
A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 

o &tape 2 : actte die d£ffi d 
Le demonstrateur applique une fonction de hachage In ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T. Le demonstrateur transmet le jeton T au 
controleur. Le controleur, apres avoir re?u un jeton T 9 produit des defis d 
en nombre egal au nombre d'engagements R et transmet les defis d au 
demonstrateur. 

o ettape 3 : acte de reponnse B 
Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

o ettape 4 : acte de comtrole 
Le demonstrateur transmet chaque reponse D au controleur. Le controleur, 
disposant des m valeurs publiques G 1? G 29 o„. G m , calcule a partir de chaque 



defi d et de chaque reponse D un engagement reconstruit R' satisfaisant a 
une'ielation du type : 

R' = G x dl . G 2 62 . ... *■ . D v mod.n 
ou a tine relation du type : 

R' = D v /G 1 dl .G 2 d2 -...G ffi dm . modn 
Puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T\ Puis le controleur verifie que le 
jeton T' est identique au jeton T transmis. 

Signature numerique d'un message et preuve de son authenticity 
Dans une troisieme variante de realisation susceptible d'etre combinee aux 
deux^prgc^dentes^le^pivQcede^selon ^ intentional est destin6 k produire la 
signatoe^numerique^ par une entit6 appelee ehtite 

signataire. Laditeientit^ 
Operationudeisighature* 

Ladite^entat^ signataire execute une operation de^signature en \we 
d'obtenu^u^^ 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ladite entite signataire execute r operation de signature en mettant en 
oeuvre les etapes suivantes : 

• £tape 1 : acte d'engagement R 

A chaque -appelate temoin^ealcule ehaquevengagement R en appliquant4e 
processus sp6cifi6 ci-dessus. 

• ^ tape 2 : acte de d^fi d 

Le signataire applique une .fonction de hachage h ayant^eomme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre egal au nombre 
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d'engagements R. 

o <§tape 3 : actte die reponise JD> 
Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

Operation die conntirSle 

Pour prouver T authenticate du message M, une entite, appelee controleur, 
controle le message signe. Ladite entite controleur disposant du message 
signe execute une operation de controle en procedant comme suit. 
° cas on le comiihrSlewir dispose des eBgagememits des defis d 9 des 
irepoirnses TD) 9 

Dans le cas ou le controleur dispose des engagements R» des d6fis dL, des 
reponses ID le controleur verifie que les engagements R, ies defis d et les 
reponses D satisfont a des relations du type 

Rs G l dl o G 2 **. ooo G m . W mod us 
ou a des relations du type : 

RED v /G 1 dl oG 2 d2 ocooG m din c mmodM 
Puis le controleur verifie que le message M, les defis d et les engagements 
R satisfont a la fonction de hachage 

d = In (messfflge 9 R) 
o cas on le connttrole^ir dispose des deffis d et des jrfipoimses B 
Dans le cas ou le controleur dispose des defis d et des reponses ID, le 
controleur reconstruit, a partir de chaque defi d et de chaque reponse D, 
des engagements R 9 satisfaisant a des relations du type : 

W = G x dl . G 2 ^ . . o G m *" . B v mod u 
ou a des relations du type : 

R 9 = B v /G l dl oG 2 d2 oo,oG m dm o modi 
Puis le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = b (message, R 9 ) 



• cas ou le controleur dispose des engagements R et des reponses D 

DansJe cas ou le qontroleur disposers enga|^m^ D, 
le controleur applique la fonction de hachage et reconstituted V 

d' = h (message, R) 
Puis, controleur ^yerifie que les engagements R, Ies4efis4d'^gt lesnereponses 
D, satisfont a des relations du type : 

R = Gj dl . G 2 d ' 2 . ... G m d m . D v mod n 
ou a des relations du type : 

R = D v /G 1 d ' 1 .G 2 d ' 2 ....G m d,m . modn 
Syst&me 

La presente invention concerne egalement un systeme destine a prouver a 
un serveur contr^lfeuF, 

- Tauthenticite d'une entite et/ou 

- r integrity d'un message M assoeie k eetteentit&< > 

Cette preuve est etablie au moyen de tout ou paitie^despparametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees-Qji Q 2 , ... Q m et^publiques*G^ G 2 , ... 
G m (m etant superieur ou egal k 1), 

- un module public n constitue par le produit de f facteurs premiers p ly 
p 2 , ... p f (f etant superieur ou egal a 2), 

- un exposant public v ; 

Ledit module, ledit exposant et lesdites valeurs sont life par des relations 
du type : 

G|. Qi v = 1 . mod n ©u ©, s Q^ mod^^ 
Ledit exposant v est tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique G s est le carre g| 2 d*un nombre de base & inferieur 
aux f facteurs premiers p 15 p 2 , ... p f . Le nombre de base & est tel que : 



les deux Equations : 

x 2 = gj mod nn. et x 2 = ° gj mod nn 
n'ont pas de solution en x dans l'anneau des entiers modulo nn 
et tel que : 

F equation : 

s v = gj 2 mod nn 

a des solutions en x dans l'anneau des entiers modulo m . 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur. Le dispositif temoin comporte une zone memoire 
contenant les IFfacteurs premiers p|-et/ou les parametres des restes chinois 
des facteurs premiers et/ou le module public nn et/ou les mm valeurs privees -Q,- 
et/ou les Cm composantes Q u (Q u s Q, mod pj) des valeurs privees Q, et 
l'exposant public v . Ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres design6s les moyens de 
production d'al6as du dispositif t&noin, 

- des moyens de calcul, ci-apr£s designs les moyens de calcul des 
engagements R du dispositif temoin. 

Les moyens de calcul perrnettent de calculer des engagements R dans 
l'anneau des entiers modulo m . Chaque engagement est calcule : 
o soit en effectuant des operations du type 

]R = ir v mod nn 

ou r est un alea produit par les moyens de production d'aleas, r etant tel 

que©<ir<]nu 

° soit en effectuant des operations du type 
IRi = ri v modpi 

ou F| est un al6a associS au nombre premier ^ tel que 0 < r t < p, , chaque r, 
appartenant k une collection d'ateas {r t , r 2 , „<> r f } produits par les moyens 
de production d'aleas, puis en appliquant la m^thode des restes chinois . 
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Ledit dispositif t&noin comporte aussi : 

- des moyens de reception, ci-apr&s designes les moyens de reception 
des d^fis d du dispositif t&noin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers d, ci-apr&s appeles defis 616mentaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque d6fi d une 
reponse D, 

• soit en efFectuant des operations du type : 

D = r.Q x dl .Q 2 d2 ....Q ra dm modn 

• soit en efFectuant des operations du type : 

»i = r, . Q w dl . Q u " . . . . Qi. m mod Pl , 
puis en appliquant la mdthode des restes chinois, 

Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d' engagements R. Chaque 
groupe de nombres R, d, D constitue un triplet note {R, d, D}. 

Cas de la preuve de Pauthenticite d'une entity 
Dans une premidre variante de realisation le systeme selon rinvention est 
destine a prouver l'authenticite d'une entity appetee demonstrateur a une 
entite appelee controleur, 

Ledit systeme est tel qu'il comporte un dispositif demonstrateur associ6 k 
Pentite demonstrateur. Ledit dispositif demonstrateur est interconnect^ au 
dispositif temoin par des moyens d'interconnexion. n peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade, 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme comporte aussi un dispositif controleur associ6 k Fentit6 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant Ledit dispositif controleur comporte 
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des moyens de connexion pour le connecter electriquement; 
electromagnetiquement, optiquement ou de manidre acoustique, 
notamment via un reseau de communication informatique, au dispositif 
demonstrateur ; 

Ledit systeme pennet d'executer les etapes suivantes : 

o ettape 1 : act© d'enngagemaeittlt R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres design6s les moyens de transmission du dispositif t&noin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres 
d&ignes les moyens de transmission du demonstrateur, pour transmettre 
tout ou partie de chaque engagement M au dispositif contrSleur, via les 
moyens de connexion. 

o <§ttap<e 2 i actte die dl<§ffi dl 
Le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement des 
defis dl en nombre egal au nombre d' engagements R. Le dispositif 
controleur comporte aussi des moyens de transmission, ci-apres designes 
les moyens de transmission.du controleur, pour transmettre les defis dl au 
demonstrateur, via les moyens de connexion. 

o <§tep<e 3 t actte die rejpomise ID 
Les moyens de reception des defis dl du dispositif temoin, re$oivent chaque 
defi dl provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif 
temoin, calculent les reponses B a partir des defis dl en appliquant le 
processus sp6cifi6 ci-dessus. 
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• 6 tape 4 : acte de contrdle 
Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi : 

- des moyens de calcul, ci-apres d^signes les moyens de calcul du 
dispositif contrdleur, 

- des moyens de comparaison, ci-apres design^s les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G 19 G^ ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant k une relation du type r 

JV- s G x dl . G 2 d2 . ...G m 6m . D v mod n 
ou a une relation du type, 

R' s D v /-G! dl . G 2 * ... G m *» mod n . 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re5u. 
Deuxieme cas : le demonstrateur a transmis Fintegralite de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
Tintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G 15 Gj, ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R= G x dl . G 2 ... G m ^ . D v mod n 
ou a une relation du type, 

R = D V / G, dl . G 2 * ... G m *■ . mod n . 



■ Cas de la pirewve die FiBtegrite d 9 nm message 0 
Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le systeme selon F invention est destine a prouver a une 
entit6 appelee controleur F integrity d'un message M associe a une entite 
appelee demonstrateur. Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associe a Fentit6 demonstrateur. Ledit dispositif 
demonstrateur est interconnects au dispositif temoin par des moyens 
d' interconnexion. Ledit dispositif demonstrateur peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit systeme comporte aussi dispositif controleur assocte 
k Fentite controleur. Ledit dispositif contr61eur se pr6sente notamment 
sous la forme d'un terminal ou d'un serveur distant. Ledit dispositif 
contrSleur comporte des moyens de connexion pour le connecter 
Slectriquement; electromagnetiquement, optiquement ou de maniere 
acoustique, notamment via un r6seau de communication infonnatique, au 
dispositif demonstrateur. 
Ledit systeme execute les Stapes suivantes : 

o <§tape 1 t acfe d'emgagemriieimtt R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

o (Stajpe 2 : acte de deffi d 
Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant une fonction 
de hachage la ayant comme arguments le message M et tout ou partie de 
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chaque engagement R, pour calculer au moins un jeton T. Le dispositif 
demonstrates comporte 'auSS'^deS^moyetis^de %aBsmissiSii, ci-apres 
designes les moyens de transmission du dispositif demonstrateur,^ pour 
transmettre ehaque jeton T, via les moyens de connexion,- au*>dispositif 
controleur. Le dispositif *? controleur comporte aussi des ~ moyens de 
production de d^fis pour produire, aprds avoir re?u le jeton T, des defis d 
en nombre 6gal au nombre d' engagements R. Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• 6tape 3 : acte de reponse D 

Les moyens de reception des defis d du^dispositifctemoin, re?oivent chaque 
d6fi d prov.enant du .dispositif demonstrateur via * les moyens 
d'interconnexion. >Les^moyens de^calcul ^des reponses D tdu dispositif 
temoin, calculent *les^reponses^D3& >paitir*des**d6fiS d len^rappliquant le 
processus speeifi^ oi-dessus. 

• £tape?4 :*acte*de controlem 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au contrSleur. Le dispositif controleur comporte aussi des 
moyens de calcul, ci-apres designes les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G 2 , ... G,^ pour d'une 
part, calculer h partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' = G 1 d ^G 2 *....G m dm . D v modn 
ou a une relation du type : 

R' = D v / G x dl . G 2 d2 . ... G m ^ : moduli 
puis d' autre part, calculgr en appliquant la fonction^e hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% im jeton T\ 




Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule T 9 au jeton T re$u. 

Sigmatorc iauiuni<Sriqiuie d 9 un message ett prensve die §oel auatihienitiot^ 
Dans une troisieme variante de realisation susceptible d'etre combin6e 
avec Tune et/ou l'autre des deux premieres, le systeme selon ^invention 
est destine a prouver la signature num&ique d'un message M, ci-apres 
designe le message signe, par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les d6fis d. et/ou les engagements R, 

- les reponses B ; 

Operation!! die sSgnaatare 

Ledit systeme est tel qu'il comporte un dispositif signataire associe a 
1' entite signataire. Ledit dispositif signataire est interconnect^ au dispositif 
temoin par des moyens d'interconnexion et pent se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme permet d'executer les etapes suivantes : 

o etape 1 : acte d 9 emLgagemeim1t R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d' interconnexion. 

o <gtape 2 t actte de dleffi d 
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Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du ^disp%sffif<sigimtaife, appliquanr vuie' fonction de 
hachage h ayant eomme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements 

• etape 3 : acte de r£ponse D 
Les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion. 
Les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus sp6cifi6 ci- 
dessus. 

Le dispositifiKtemom^ comporte- desv moyens do transmission, ci-apres 
designes les*m©yensnde*transmission€du dispositif temoin, pour transmettre 
les reponses D au dispositif signatairej»via les moyens d 5 interconnexion. 
Operation de contr,61ete 

Pour prouver I - autbentieit^ du message une entite appelee controleur, 
controle4e message;signer 

Ledit systeme comporte un dispositif controleur associe a T entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de communication informatique, au dispositif 
signataire; 

Le dispositif signataire associe a T entite signataire comporte des moyens 
de transmission, ci-apres d6sign6s les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message sign6, via 
les moyens de connexion. Ainsi, le dispositif controleur dispose d'un 
message signe comprenant : 
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-le message M, 

- les defis d et/ou les engagements R, 

- les reponses B ; 

Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres design6s les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apr£s design6s les moyens de 
comparaison du dispositif controleur. 

° cas om le dispositif coEthroleunr dispose des emgagemeiniits R^ des defis d, 
des ir^ponnses B, 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis 'd, des reponses B 9 les moyens de calcul et de comparaison du 
dispositif controleur verifient que les engagements R, les d6fis d et les 
reponses B satisfont a des relations du type 

R=Gj dl o G 2 ooo G m dra oD v mod nn 
ou a des relations du type : 

R3B v /G 1 dl .G 2 d2 ....G m dm . mrnodm 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
v&ifient que le message M, les defis d et les engagements R satisfont k la 
fonction de hachage 

d = h (message, R) 
° cas oufc le dispositif conlhr61eiinr dispose des deffis d et des r<§p©nnses B 
Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
B, les moyens de calcul du dispositif controleur calculent, k partir de 
chaque defi d et de chaque reponse B, des engagements R 9 satisfaisant a 
des relations du type : 

W = G x dl o G 2 ooo G m dm o© v mod n 
ou a des relations du type : 

R 9 = B v /G 1 dl oG 2 d2 ooooG m d,n o modnn 
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Puis, les moyens de calcul et de comparaison du dispositif controleur 
veriflent~que le message M et les iiSfis d satisfoiit aia fonctatSa de hachage 

d = h (message, R') 
• cas ou le dispositif controleur dispose des engagementstaR et des 
reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (message, R) 
Puis, les moyens de calcul et de comparaison du dispositif contrdleur 
verifient que les engagements R, les d6fis d' et les reponses D, satisfont a 
des relations du type : 

R-G t d l • G 2 ... G m dm • D v mod n 
ou a des relations du type : 

R s D v / G x n . G 2 d ' 2 . ... G m d>m t mod n 
Dispositif Terminal 
L'invention concerne aussi un dispositif terminal associe h une entity. Le 
dispositif terminal se presente notamment sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire a microprocesseur. Le 
dispositif terminal est destine a prouver a un dispositif controleur : 

- Tauthenticit6 de Tentite et/ou 

- Pintegrite d'un message M associe a cette entity. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de eeux-eiK 

- m couples de valeurs privies Q 15 ... Q m et publiques G 15 G 2 , ... 
G m (m etant superieur du 6gal & 1), 

- un module public n constitue par le produit de f facteurs premiers p 19 
p 2 , ... p f (f etant sup&ieur ou 6gal a 2), 

- un exposant public v . 
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Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

G| o Qj v s 1 . mod in ou G s = Q^nmod nn . 
Ledit exposant V est tel que 

v = 2 k 

ou k est un paramdtre de securite plus grand que 1 . 

Ladite valeur publique G, est le carre & 2 d'un nombre de base g s inferieur 
aux JF facteurs premiers p v p 29 p f . Le nombre de base g f est tel que : 

les deux equations : 

s 2 = gj modi m et x 2 = ° g f mod nn 
n'ont pas de solution en x dans l'anneau des entiers modulo nn 
et tel que: 

l'equation : 

x v = gj 2 modi mi 

a des solutions en x dans l'anneau des entiers modulo m . . - 

Ledit dispositif terminal comprend un dispositif temoin comportant une 

zone memoire contenant les f facteurs premiers p, et/ou les parametres des 

restes chinois des facteurs premiers et/ou le module public nn et/ou les mm 

valeurs privies Q t et/ou les Con composantes } (Q u } s Q g minod -pj) des 

valeurs privees Qjet l'exposant public v . 

Ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
l'anneau des entiers modulo m . 

Chaque engagement est calcule : 

° soit en effectuant des operations du type 

R = r v mod nn 
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ou r est un alea produit par les moyens de production d'aleas, r etant tel 
queO<r<n, 

• soit en effectuant des operations du type 
RjSr^modpi 

ou Tj est un alea assoqie au nombre premier pj tel que 0 < rj < p t , chaque r, 
appartenant a une collection d'aleas {r x , r 2 , ... r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque d6fi d comportant m entiers d, ci-apres appeles defis elementaires ; 

- des moyens^deftqaleul, ci apres-design^s^ les moyens de calcul des 
reponses D du dispositififemoin, pour calculer a partir de chaque d6fi d une 
reponse D, 

• soit * en effectuant des operations du-type : 

D = r . Q x dl :Q 2 ^: .. . Q m dm mod n 

• soit-en effefetuant des operations du type : 

A = ri. Q w dl . Q U2 « . . . *- mod Pi 
puis en appliquant la methode des restes chinois. 

Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d'engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de 1'authenticite d'une^entite^ 
Dans une premiere variante de realisation le dispositif terminal selon 
1' invention est destine k prouver Tauthenticite d'une entite appelee 
demonstrateur a une entity appelee controleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif demonstrateur 
associe a 1' entite demonstrateur. Ledit dispositif demonstrateur est 
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interconnecte au dispositif temoin par des moyens d' interconnexion. II 
peut se presenter notamment sous la forme de microcircuits logiques dans 
un objet nomade par exemple sous la forme d'un microprocesseur dans une 
carte bancaire a microprocesseur. 

Ledit dispositif demonstrateur comporte aussi des moyens de connexion 
pour le connecter electriquement, electromagnetiquement, optiquement ou 
de maniere acoustique, notamment via un reseau de communication 
infonnatique, au dispositif controleur associe a Tentite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

o ettape 1 1 acfte d'emgagemnieimtt R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifi6 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
d6signes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrateur, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion. 

o etapes 2 ett 3 t actte die detf! d 9 actte de ireponnse D 
Les moyens de reception des defis d du dispositif t&noin, repoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif t&noin. 
Les moyens de calcul des r^ponses D du dispositif t&noin, calculent les 
reponses D a partir des d6fis d en appliquant le processus specifie ci- 
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dessus, 

• etape 4 : acte de contrdle 

Les moyens de transmission du d&nonstrateur transmettent chaque 
reponse D au dispositif controleur qui precede au controle.- 

Cas de la preuve de Pintegrite d ? un message- 
Dans une deuxieme variante de realisation susceptible d'etre combinee a la 
premiere, le dispositif terminal selon Tinvention est destine k prouver k une 
entite appelee controleur l'integrite d'un message M associe a une entite 
appelee demonstrateur. Ledit dispositif terminal est tel qu'il comporte un 
dispositif demonstrateur associe k l'entite demonstrateur, ledit dispositif 
demonstrateur est interconnect^ au dispositif temoin par des moyens 
d'intereonnexionv H peut se pr^senter^notamment^sous la forme de 
microciicuits4ogiqueS' dans un objet^nomade*par.*exemple sous * la forme 
d'un microprocesseur^dans nine ^carte ^baneaire^a *mieroprocesseur. Ledit 
dispositif demonstrateur comporte des moyens*r de**connexion pour le 
connecter electriquement; electromagnetiquement, optiquement ou de 
maniere acoustique, notamment^via ^ un** reseau** d€& communication 
informatique, au dispositif controleur associe a l'entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquantie processus sp6cifie 
ci-dessus Le dispositif temoin comporte des moyens de transmission, ci- 
apres design^s les moyens de transmission du dispositif temoin, pour 
transmettre* tout ou partie de ^chaque engagements R ^au^, dispositif 
demonstrateur, via les moyens d'interconnexion. 

• etapes 2 et 3 : acte de defi d, acte de reponse D 



Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant une fonction 
de hachage Bi ayant comme arguments le message M et tout ou partie de 
chaque engagement K, pour calculer au moins un jeton T. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif demonstrateur, pour 
transmettre chaque jeton T, via les moyens de connexion* au dispositif 
controleur. 

Ledit dispositif controleur produit, apres avoir recu le jeton T, des d6fis d 
en nombre egal au nombre d'engagements TBL 

Les moyens de reception des defis d du dispositif temoin, recoivent chaque 
d6fi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses B a partir des d6fis d en appliquant le processus specifie ci- 
dessus. 

o iitap© 4 ; acte de conttrdlls 
Les moyens de transmission du demonstrateur transmettent chaque 
reponse E> au dispositif controleur qui procede au controle. 

Sigmatare muraemqiue d'un message et preunve de som aralflneiii4fidtt4 
Dans une troisieme variante de realisation susceptible d'etre combinee 
avec Tune ou l'autre des deux premieres, le dispositif terminal selon 
l'invention est destine a produire la signature numerique d'un message 
ci-apres design6 le message signe, par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses B. 
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Ledit dispositif -terminal est tel qu'il comporte un dispositif signataire 
associie a Fentite signataire. Ledif dispositif^igoatS^ £st Inter connecte au 
dispositif temoin par des^moyens d'interconnexion^D "peut se .presenter 
notamment-sous la forme ,de*microcircnits logiques dans*un#objet«momade 
par exemple*sous4a forme d'un microprocesseur dans uneMsarte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif controleur associe a Tentite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. 
Op£ration«de*signature- 
Ledit dispgsitif tfenaiinafopei^^^ 

• etapefl acteid^engagement^R^ 

A chaque ^ appel^les-moyens^de^ealcul des^engagements^R^du dispositif 
temoin caleulent^chalque^engagemenfcR^fen appliquanfrle processus sp^cifie 
ci-dessus^#Le dispositifetemoin comporte des^moyens^de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d'interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant^Somme arguments" te *message*M et lout ^ou^partie-de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des d6fis d en nombre egal au nombre d'engagements R. 

• etape 3 : acte.de r^ponse D ^ 

Les moyens de reception des defis d du dispositif temoin re?oivent chaque 
defi d provenant du dispositif signataire, via les moyens d'interconnexion. 




Les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses H> a partir des defis 4 en appliquant le processus specifie ci- 
dessus. Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses B au dispositif signataire, via les moyens d' interconnexion. 

HMsposMff connlhroIleTiiiir 
L'invention conceme aussi un dispositif controleur. Le dispositif 
controleur peut se presenter notamment sous la forme d'un terminal ou 
d'un serveur distant associe a une entite controleur. Le dispositif 
contrSleur est destine k controler : 

- Tauthenticite d'une entit6 et/ou 

- Pintegrite d'un message M associe a cette entity, 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- mm couples de valeurs publiques G l9 G 25 o„o G m (m etant superieur ou 
6galal), 

- un module public m constitue par le produit de ff facteurs premiers p 19 
••• Pf (ff etant superieur ou egal k 2) inconnus du dispositif controleur et 

de Fentit6 controleur associ6, 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Gj „ Qj V = 1 o mod iouGjS Q^mod m ; 
ou Qi designe une valeur privee, inconnue du dispositif controleur, 
associee a la valeur publique Gj . 
L'exposant v est tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1. 

Ladite valeur publique Gj est le carre g, 2 d'un nombre de base g t inf<§rieur 
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aux f facteurs premiers p 19 p 2 , ... p f . Le nombre de base g 4 est tel que : 

les cteux ^qtttitras*! 

x 2 = g s mod n et x 2 = - & mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n t> 
et tel que : 

l'equation : 

x v s gj 2 mod n 
a des solutions en x dans l'anneau des entiers modulo n . 

Cas de la preuve de 1' authenticity d'une entity 
Dans une premiere variante de realisation le dispositif controleur selon 
l'invention est destine a prouver l'authenticite d'une entite appel6e 
demonsteateiufca'U^ 

LecUt dispositi^fc^ pour le 

connecter electriquement, electromagnetiquement,> optiquement ou de 
maniere acoustiquef notamment via^xm^ reseaum dcm communication 
informatique, a un dispositif* demonstrates^ associee a Fentite 
d&nonstrateur, 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi d 
Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif controleur comporte des moyens de production de d6fis pour 
produire?rapres avoir re9u tout ou partie de chaque-en'gagement R, des 
d6fis d en nombre egal au nombre d'engagements R, chaque defi d 
comportant m entiers dj ci-apres~appel6s defis 616mentairesr 
Le dispositif controleur comporte aussi des moyens de transmission, ci- 
aprds design6s les moyens de transmission du controleur, pour transmettre 
les defis d au demonstrateur, via les moyens de connexion. 
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o etapes 3 et 4 : actfe die repomse D, *acte de coatrole 
Ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif contrdleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif contrdleur. 

Premier cas : le demosnstrattenur a traiasmis nme partne de clhaqnae 
enugagemenst R 

Dans le cas ou les moyens de reception du dispositif contrdleur ont re$us 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G„ G 29 ooo G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R 9 satisfaisant a une relation du type : 

R 9 5= G t dI o G 2 ^ oo. G m dm . • B v mod n 
ou & une relation du type, 

R 9 = 1D> V / Gj dl o G 2 ^ ooo G m ^ o mod in , 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R 9 a tout ou partie de chaque engagement R re?u. 
Beexieme cas : le demonasitratteiiar a ttramismis P5MegraMtt<§ de dbiaqroe 
emgagemeiniit R 

Dans le cas ou les moyens de reception du dispositif controleur ont re?us 
Tintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G 19 G 29 ooo G m , verifient que chaque engagement R satisfait k une relation 
du type : 

R = G 1 dl oG 2 d2 .oooG m dm oB v modM . 
ou a une relation du type, 
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R = W/G X dl . G 2 * ... G m dm . mod n . 
Cas He la preuve de Fintegnte ^'uh mestag^* 
Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le dispositif controleur selon Pinvention est destine a 
prouver Tintegrite d'un message M assoeie a une * entite appelee 
demonstrateur. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur assoctee k Tentite 
demonstrateur. 

Ledit dispositif controleur pennet d'executer les etapes- suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de d6fi d 

Ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du dispositif demonstrateur, via les~ moyens de 
connexion. Le dispositif controleur comporte des moyens de production 
de defis pour produire, apres avoir re$u le jeton T, des defis d en nombre 
egal au nombre d* engagements R, chaque defi d comportant m entiers dj 
ci-apres appeles defis elementaires. Le dispositif controleur comporte aussi 
des moyens de transmission, ci-apres designes les moyens de transmission 
du controleur, pour transmettre les defis d au demonstrateur, via les moyens 
de connexion. 

• etapes 3 et 4 : acte de reponse D, acte de contrdle 

Ledit dispositif controleur comporte des^moyesns de reception des reponses 
D provenant du dispositif demonstrateur, via les moyens de connexion. 
Ledit dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G 19 G 2 , ... G^ pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstruit R' 
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satisfaisant a une relation du type : 

W = Gj dl - Gj.* 2 * ooo G m dm oD v mod n 
ou a une relation du type : 

R 9 = B v /G 1 dl oG 2 d2 ooooG ra dn \ modm 
puis d' autre part, calculer en appliquant une fonction de hachage Ik ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% xm jeton T 9 o 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule TP au jeton T re?u. 

Sngirnatore mnmiriqiae dPrai message et pireunve die soia aiialtlheimltMttl 
Dans une troisieme variante de realisation susceptible d'etre combinee 
avec 1'une et/ou Tautre des deux premieres, le dispositif controleur selon 
Tinvention est destine a prouver rauthenticite du message M en 
controlant, par une entite appelee contrdleur, un message signe. 
Le message signe, emis par un dispositif signataire associ6 k une entite 
signataire disposant d'une fonction de hachage h (message, R), comprend: 

- le message M, 

- des defis d et/ou des engagements R, 

- des reponses B ; 

Op^ratiomi de coEthrole 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
infonnatique, a im dispositif signataire associee a Tentite signataire. Ledit 
dispositif controleur re?oit le message signe du dispositif signataire, via les 
moyens de connexion. 
Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
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dispositif controleur, 

- des. moyens^de comparaison, ci-apf &s Mesignes les moyens de 
comparaison du* dispositif controleur. 

• cas ou le dispositif controleur dispose des engagements R, des dMs d, 
des r^ponsiggjP,^ 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif controleur verifient que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G, dl .G 2 d2 ...-G m dm .D v modn 
ou a des relations du type : 

Kmm/ Gi* 1 SG&* 2 :*... G- ^T mod n * 
Puis, les moyens -de^calcul et de -comparaison du dispositif controleur 
verifient que le message * M, J les defis« d et les engagements R satisfont a la 
fonction de haehagejre 

d = h (message, R) 

• cas ou le dispositiftcontroleur dispose-des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
D, les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R> = G x dl . G 2 * • . • G m dm . D v mod n 
ou a des relations du type : 

R' = D v / Gi dl . G 2 ^. ... G m ** . mod n 
puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont k la fonction de hachage 

d = h (message, R*) 

• cas ou le dispositif controleur dispose des engagements R et des 
reponses D 
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Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D 9 les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d 9 tel que 

d 9 = fa (message, R) 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d 9 et les reponses D, satisfont a 
des relations du type : 

R s G x dn . G 2 d ' 2 . ... G m d ' m . B v mod n 
ou a des relations du type : 

R = B v / G x d ' 1 . G 2 d ' 2 o ooo G m d ' m . mod m 
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Description - 

Rappelons l'objectif de la technologie GQ : l'authentification dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel. a la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependence n'est pas une equivalence, loin s'en faut, comme le demontrent 
les attaques dites « multiplicatives » contre diverses normes de signature 
numerique mettant en ceuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de l'invention porte 
plus precisement sur V utilisation de s feux de cles GQ2 dans le cadre de 
l'authentification dynamique et de la signature numeriquer-La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, ameliorer les performances par rapport a la technologie RSA ; d'autre 
part, eviter les problemes inherents a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se ramene a la factorisation du module n : il y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour l'entit6 
qui signe ou qui s'authentifie que pour celle qui controle. Grace a un 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et notes par g r Les nombres de base etant fixes de & a g m avec m > 1 , 
une cle publique de verification <v, n) est choisie de la maniere suivante. 
L'exposant public de verification v est 2* ou k est un petit nombre entier 
plus grand que 1 (k > 2). Le module publie-» est le produit d'au moins deux 
facteurs premiers plus grands que les nombres de base, disons / facteurs 
premiers (f> 2) notes par p p de Pl ,..p r Les/facteurs premiers sont choisis 
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de facon a ce que le module public n ait les proprietes suivantes par rapport 
a chacun des m nombres de base de g l a g m . 

- D'une part, les equations (1) et (2) n'ont pas de solution en x dans 
l'anneau des entiers modulo w, c'est-a-dire que g, et -g, sont deux residus 
non quadratiques (mod n). 

x 2 = gi (modn) (1) 
x 2 = -gi (mod n) (2) 

- D'autre part, l'equation (3) a des solutions en x dans l'anneau des entiers 
modulo n. 

x 2 '=gf (mod n) (3) 
La cle publique de verification <v, n> etant fixee selon les nombres de base 
de g x a g m avec ro > 1, chaque nombre de base g t determine un couple de 
valeurs GQ2 comprenant une valeur publique G, et une valeur privee Q, : 
soit m couples notes de G l Q x a G a Q m . La valeur publique G, est le carr£ du 
nombre de base g, : soit G, = g% La valeur privee Q, est une des solutions a 
l'equation (3) ou bien l'inverse (mod n) d'une telle solution. 
De meme que le module n se decompose en/facteurs premiers, l'anneau 
des entiers modulo n se decompose en / corps de Galois, de CG(p,) a 
CG(p). Voici les projections des equations (1), (2) et (3) dans CG{p). 
x 2 =g t (mo& pj) (La) 
x 2 s-g. (mod pj) (2.a) 
x 2 * =gf (mod pj) (3.a) 
Chaque valeur privee Q, peut se representer de maniere unique par/ 
composantes privees, une par facteur premier : Q Q s Q. (mod p). Chaque 
composante privee Q Q est une solution a l'equation (3.a) ou bien l'inverse 
(mod p) d'une telle solution. Apres que toutes les solutions possibles a 
chaque 6quation (3. a) aient ete calcul6es, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Q t a 
partir de /composantes de Q lx ^Q^.Q^ Restes Chinois (2 U , Q L2 , ... QJ 
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de maniere a obtenir toutes les solutions possibles a l'equation (3). 
Voici la technique des restes chinois : soient deux nombres entiers positifs 
premiers entre eux a et b tels que 0 < a < b, et deux composamtes X a de 0 a 
a-1 et X b de 0 a 6-1 ; il s'agit de determiner X= Restes»CMnoisfl(X a , X b ), 
c'est-a-diierle nombre unique X de 0 a a.b-l tel que X a = X(moda) et 
X b =X(mod b). Voici le parametre des restes chinois : a = {b (mod a)}" 1 
(mod a). Voici l'operation des restes chinois :e=X b (mod a) ; 8 = X a -e ; si 
8 est negatif, remplacer 8 par 8+a ; ys a . S (mod a) ;X=y . b+X b . 
Lorsque les facteurs premiers sont ranges dans Pordre croissant, du plus 
petit/?, au plus grand p p les parametres des restes chinois peuvent etre les 
suivants (il y en a f-l t c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois*est*a = {Pi (mod*p0}' 1 (mod*>,). Le 
second^parametre des restes*ebinois«est*|l> s ^.^(mod.p,)):' (mod/?j). Le i 
ieme-par^ette des*restes«ehinois.estf?us {p$Pr*--'P3b> (mod^,)}"' (mod/?,). 
Et amsitde-suiteaEfflisuite^eni/C-1 operationsiides*Eestes»Ghinoisj.on etabtit un 
premieraesultat (mod/?, fois/?,) avee*le premier-parametrerpuis, un second 
resultaMmod p^p&Msvpj ^avec^e^second parameter et^ains de suite, 
jusqu'a un resultat (mod Pj_ x ioisp), c'est-a-dire, (mod n). 
II y a plusieurs representations possibles de la cl6 privee GQ2, ce qui traduit 
le polymorpMsme de la de privee GQ2. Les diverses representations 
s'averent equivalentes : elles se ramenent toutes a la connaissance de la 
factorisation du module n qui est la vdritable cle privee GQ2. SMa 
representation affecte bien le conroortf tnent de l'entite qui signe ou qui 
s'authentifie. elle n'affecte pas le.C QmpQiitement.de Uentite qui controle. 
Voici les trois principles representations possibles de la cl6 priv6e GQ2. 
l) T.a representation classiaue en techn oloeie GO consiste a stocker m 
valeiire~priy£es. Q, et la ^le-pubUque^e xerificationXv, »> £ en*techhologie 
GQ2, cette representation est concurrencee par les deux suivantes. 2) La 
re presentation optimale en termes de c harges de travail consiste a stocker 
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l'exposant public. v,.les/facteurs premiers/^ m./composantes privees Q Q et 
f-l parametres des restes chinois. 3) La represen tation ootimale en tennes 
de taille de cle orivee consiste a stocker l'exposant public v, les m nombres 
de base g, et les /facteurs premiers p p puis, a commencer chaque utilisation 
en etablissant ou bien m valeurs privees Q t et le module n pour se ramener a 
la premiere representation, ou bien m.f composantes privees Q Q et f-l 
parametres des restes chinois pour se ramener a la seconde. 
Les entites qui signent ou s'authentifient peuvent toutes utiliser les memes 
nombres de base ; sauf contre indication, les m nombres de base de g, a g m 
peuvent alors avantageusement etre les m premiers nombres premiers. 
Parce que la security du mecanisme d'authentification dynamique ou de 
signature numerique equivaut a la connaissance d'une decomposition du 
module, la technologie GQ2 ne permet pas de distinguer simplement deux 
entit6s utilisant le mSme module. Gendralement, chaque entitd qui 
s'authenufie ou signe dispose de son propre module GQ2. Toutefois, on 
peut specifier des modules GQ2 a quatre facteurs premiers dont deux sont 
connus d'une entitd et les deux autres d'une autre. 

Voici un premier jeu de cles GQ2 avec k = 6, soit v = 64, m - 3, soit trois 

nombres de base : g x = 3, g 2 = 5 et g, = 7, et / = 3, soit un module a trois 

facteurs premiers : deux congrus a 3 (mod 4) et un a 5 (mod 8). Notons que 

g = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 

Pl = 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

p 2 = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

p 3 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

n= Pl .p 2 . Pi = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 

02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

O = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

O = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 
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Q i l = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 

O = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 

Q w = 04792CE10£8'4D16E9A158C688A7B3FEAF9G40056469E 

Q M = FDC4A8E53E1 85A4BA793E93BEE5C636DA731BDCA4E 

Q i3 = O7BC1AB048A2EAFDAB59BD4OCCF2E657AD8A6B573BDE 

Q u = 0AE8551E1 16A3AC089566DFDB3AE003CF174FC4E4877 

Q„ = 01682D490041913A4EA5B80D16B685E4A6DD88070501 

Q l = D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 

C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 

C74D9743435AB4D7CF0FF6557 

Q 2 = CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 
DB 1 7563B9B-30C582D527 1 949E3DB&5A70G 4 08E&61 A27440S A5CB8 
82288273 AT>E67353A5B<33 li6€@93*» 

Q s = O9AA6F4930E51'A7O@©®l»7442B1^77O©mGD7749@E3398A 
AD9DC50249G3431 291 5E559*7A*E®4©83 AA3®60#E3EBSe8B197 
69723 853 7FE7A0 1 95C5E8B ^TSEBWKK? 

Voici un seconctjeu de cles*GQ2#%veGf* * 9/soitev = 512, jius? 2, soit deux 
nombres de base : g t = 2 et g 2 = 3, et/= 3, soit un module a trois facteurs 
premiers congrus a 3 (mod 4). 

Px = 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 

p 2 = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 

p 3 = 0BCADEC2 1 9F1 DFBB8AB5FE808A0FFCB53458284ED8E3 

„ = P] ,p 2 , Pj = FFFF5401ECD9E537F167A80C0A9111986F7A8EBA4D 

6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73A0C49 

76 1 B276A8E6B6977A2 1 D5 1 669D039FTD7 

O = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 

= 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485 ; 300E 
g u = 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 
Q = 045ECB881387582E7C556887784D2671CA1 18E22FCF2 
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0 U = BOC2R1F808D24F6376E3A534EB555EF54E6AEF5982 
Q = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 
Q W =27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 
35F32FD8G6823DF753685DD63555D2146FCDB9B28DA367327DD6 

EDDA092D0CF 1 08DOAB708405DA46 

Q 2 = 230DOB9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 
Fl 1F19874DE7DC5D1DF2A9252D 
Authentification dynamique 

Le mecanisme d'authentification dynamique est destine a prouver a une 
entite appelee contr61eur l'authenticite d'une autre entite appel6e 
demonstrateur ainsi que l'authenticite d'un eventuel message assocte M, 
de sorte que le controleur s'assure qu'U s'agit bien du demonstrateur et 
eventuellement que lui et le demonstrateur parlent bien du meme message 
M. Le message associ6 M est optionnel, ce qui signifie qu'il peut Stre vide. 
Le mecanisme d'authentification dynamique est une sequence de quatre 
actes : un acte d'engagement, un acte de d6fi, un acte de reponse et un acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le controleur joue les actes de defi et de controle. 

Au sein du demonstrateur, on peut isoler un temoin, de maniere a isoler 
les parametres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon l'une des trois representations evoqu6es ci-dessus : -les/ 
facteurs premiers et les m nombres de base, • les m./composantes privees, 
les/facteurs premiers et f-l parametres des restes chinois, • les m valeurs 
privees et le module n. 

Le temoin peut correspondre a une realisation particuliere, par exemple, 
. une carte a puce reliee a un PC formant ensemble le demonstrateur, ou 
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encore, • des. pec-grammes particulierement proteges au sein d'un PC, ou 
encore, • des programmes particulierement proteges au sein d'une carte a 
puce. Le temoin ainsi isole est semblable au temoin d6fini ci-apres au sein 
dusignataire. A chaque execution du mecanisme, le temoin . produit un ou 
plusieurs -engagements R, puis, autant de reponses D a autant de defis d. 
Chaque ensemble {R, d, D} constitue un triplet GQ2. 
Outre qu'il comprend le temoin, le demonstrateur dispose egalement, le cas 
echeant, d'une fonction de hachage et d'un message M. 
Le contrSleur dispose du module n et des parametres k et m ; le cas echeant, 
il dispose egalement de la meme fonction de hachage et d'un message M' . 
Le controleur est apte a reconstituer un engagement R ' a partir de n'importe 
quel defi« d et dc n'importe« quelle rep©nse«£>. Les parametres k et m 
renseignent 4e controleur. Faute d'indieation contraire, les m nombres de 
base de g l a g m sont-les m premiers nombres premiers.-Chaque defi d doit 
comporter m defis elementaires notes de ,a d m ,: un par nombre de base. 
Chaque defi elementaire de d i a d a doitprendre-une valeur de-^O a 2*"'-l (les 
valeurs de v/2 a v-1 ne sont pas utilisees). Typiquement, chaque defi est 
code par m fois k-1 bits (et non pas m fois k bits). Par exemple, avec k = 6 
et m = 3 et les nombres de base 3, 5 et 7, chaque d6fi comporte 15 bits 
transmis sur deux octets ; avec k = 9, m = 2 et les nombres de base 2 et 3, 
chaque defi comporte 16 bits transmis sur deux octets. Lorsque les (k-l).m 
defis possibles sont egalement probables, la valeur (Ar-l).m determine la 
securite apportee par chaque triplet GQ2 : un imposteur qui, par definition, 
ne connait pas la factorisation du module n a exactement une chance de 
succes sur 2 ( *"' ,J ". Lorsque (Ar-l).m vaut de 15 a 20, un triplet suffit a assurer 
raisonnablement l'autnenufication dynamique. Pour atteindre n'importe 
quel niveau de securite, on peut produire des triplets«en parallele ; on peut 
6galement en produire en sequence, e'est-a-dire, rep6ter l'execution du 
mecanisme. 
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1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le temoin dispose des m yaleurs privees de Q x a Q m et du module n, 
il tire au hasard et en priv<§ un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carre (mod n), il transfonne chaque alea r en un 
engagement R. 

R = r v (mod/j) 

Void un exemple avec le premier jeu de cles avec k=6. 
r=B8AD426ClAC0165E94B894AC2437ClB1797EF562CFA53A4AF8 

43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260 
9 1 9967C3 E2FB4B4566088E 

R = FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56 
D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C21210C6B04 

49CC4292E5DD2BDB00828AF 1 8 

Lorsque le temoin dispose des/facteurs premiers de Pl a p, et des m.f 
composantes privees Q tJ , il tire au hasard et en prive une ou plusieurs 
collections de /aleas : chaque collection comporte un alea r, par facteur 
premier p, (0 < r ( < p) ; puis, par k elevations successives au carre (mod p), 
il transfonne chaque alea r, en une composante d'engagement R r 

R t = r y (mod/?,) 

Voici un exemple avec le second jeu de cles avec k = 9. 

r, = B0418EABEBADF0553A28903F74472CD49EE8C82D86 

r\ = 022B365F0BEA8E157E94A9DEB0512827FFD5149880F1 

r 2 = 75A8DA8FE0E60BD55D28A218E31347732339F1D667 

r\ = 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 

r 3 = 0D74D2BDA5302CF8BE2F6D406249D148C6960A7D27 

R 3 = 06E14C8FC4DD312BA3B475F1F40CF01ACE2A88D5BB3C 

Pour chaque coUection de /composantes d'engagement, le t6moin etablit un 

engagement selon la technique des restes chinois. II y a autant 

d' engagements que.de collections d' aleas. 
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R = Restes Chinois(/?„ R^, . . • 
R = 28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73B0EBD7 
D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46FB4G34S8E)1E37C9 
9123B56446F6C928736B17B4BA4A529 

Dans les deux cas, le demonstrateur transmet au controleur tout ou partie de 
chaque engagement R, ou bien, un code de hachage H obtenu en hachant 
chaque engagement R et un message M. 

2) L'acte de d6fi consiste a tirer au hasard un ou plusieurs defis d 
composes chacun de m defis elementaires d x d 2 ... d a ; chaque defi 
elementaire d, prend Tune des valeurs de 0 a v/2-1 . 

d=d l d 2 ... d m 

Voici un exemple pour le premier jeu<de des-avee*& = 6 et m = 3. 

d x = 101 10 = 22 = ' 16' ; d 2 .= 0011 l=7;d 3 = 00010 = 2, 
t/=0 | I d,A | rf 2 | | d 3 = 0101 1000 11 100010 = 58 E2 

Voici un exemple«pour4e second jeu de»eles avec k = 9 et m = 2. 

d= d t *\\ d 2 = 58 E2% soifren d6cimal v »88 et 226 

Le conttoleur transmet au deraonstrateur*chaque d6fi d. 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque le temoin dispose des m valeurs privees de Q t a Q m et du module «, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de l'acte 
d'engagement et les valeurs privees selon les defis elementaires. 

X^Qt.Qfr...Qt m (modw) 
D = r.X (mod n) 
Voici un exemple pour le premier jeu de-eles.- 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480 

A2C6A290273479FEG9 1 7 1 990 Al 7 

Lorsque le temoin dispose des / facteurs premiers de p, a p f et des m.f 
composantes privees il calcule une ou plusieurs collections de / 



composantes de .reponse en utilisant chaque collection d'aleas de l'acte 
d' engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

Xi^Qti-Qty-Q^i (mod/;,-) 
D t sr t JC t (mod 
Voici un exemple pour le second jeu de cles. 
£), = r, . Q t "-. Q % ? (mod/?,) = 

02660ADF3C73B6DC15E196152322DDE8EB5B35775E38 

04C15028E5FD1175724376C11BE77052205F7C62AE3B 
A = r> ■ Q» ■ Q2/ 1 (»*lA> = 

0903D20DOC306C8EDA9D8FB5B3BEB55E061AB39CCF52 
Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

D = Restes Chinois(D,, D v ... D} 
D = 85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36 
4CBB55BC44DEC437208CF530F8402BD9C5 1 1F5FB3B3 A309257AOO 

195A7305C6FF3323F72DC1AB 

Dans les deux cas, le demonstrates- transmet chaque reponse B au 
controleur. 

4) L'acte die coiaitirdle consiste a contrdler que chaque triplet {R, d, D} 
verifie une equation du type suivant pour une valeur non nulle, 

m k " , 

R TjQd, =£2* (mod n) oubien R = D 2 tfjGf 1 (mod n) 

ii ' « 

ou bien, a retablir chaque engagement : aiimn ne doit etre nul. 

m k m 

R'-D^/flG?' (mod«) oubien R'=D 2 J^jG? 1 (mod n) 
i=i 1=1 
Eventuellement, le controleur calcule ensuite un code de hachage H' en 
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hachant chaque engagement retabli R ' et un message M '. L'authentification 
dynamique est»reussie4orsque4te contrdleur retrouve ainsi ce qu'il a recu a 
Tissue de l'acte d'engagement, c'est-a-dire, tout ou partie de chaque 
engagement R, ou bien, le code de hachage H. 

Par exemple, une sequence d' operations elementaires transforme-la reponse 
D en un engagement R '. La s6quence comprend k carres (mod n) sdpares 
par k-l divisions ou multiplications (mod n) par des nombres de base. Pour 
la / ieme division ou multiplication, qui s'effectue entre le / ieme carre et le 
i+l ieme carre, le i ieme bit du defi elementaire d x indique s'il faut utiliser 
g x , le i ieme bit du defi elementaire d 2 indique s'il faut utiliser g 2 , ... 
jusqu'au / ieme bit du defi elementaire d m qui indique s'il faut utiliser g m . 
Voici un exemple pour le premierMjeu de«eles*™ 

D 2 (mod n) = FD12E8E1F1370AEG9C7BA2E05C80AD2B692D341D46F3 
2B939487 1 549 1 F0EB091 B7606GA1 E744E0688367D7BB998E7B73D5F7 
FDA95D5BD6347DC8B978CA21 7733 

3 . D 2 (mod n) = F739B708911166BFE715800D8A9D78FC3F332FF622D 
3EAB8E7977C68AD4496iBEE4DAE3C0345DlCB34526D3B67EBE8BF 
987041B4852890D83FC6B48D3EF6A9DF 

3 2 . D 4 (mod n) = 682A7AF280C49FE230BEE354BF6FFB30B7519E3C8 
92DD07E5 A78 1 225BBD33920E5 ADABBCD7284966D7 1141 EAA1 7AF 
8826635790743EA7D9A1 5A33 ACC749 1D4A7 

3 4 . D 8 (mod n) = BE9D828989A2C184E34BA8FE0F384811642B7B548F 
870699E7869F8ED85 1FC3DB3 830B2400C5 1 65 1 1 A0C28 AFDD2 1 0EC3 

■:J* 

939E69D4 1 3F0B ABC6DEC44 1 974B 1A29 1 

3 3 . 5 . D* (mod n) = 2B40122E225CD858B26D27B768632923F2BBE5 
DB15CA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D 

4 AC 1 E89C223 5C3 63 830EBF4DB42<DEA3DA98CFEGL0 

3'° . 5 2 . D 16 (mod n) = BDD3B34C90ABBC870C604E27E7F2E9DB2D383 
68EA46C931C66F6C7509B1 18E3C16281 1A98169C30D4DEF768397DD 



B8F6526B67142.18DEB627E1 1 F AC A4B9DB268 

3 n . 5 J . 7 . D 16 (mod n) = DBF A7F40D3 3 8DE4FB A73 D42DBF427BBF 195 

C13D02AB0FA5F8C8DDB5025E34282311CEF80BACDCE5D0C433444 

A2AF2B 1 53 1 8C36FE2 AE02F3C8CB25637C9AD71 2F 

3 M . 5 6 . 7 2 . 2> 32 (mod n) = C60CA9C4A1 1F8AA89D9242CE717E3DC6C1 

A95D5D09A2278F8FEE1DFD94EE84D09D000EA8633B53C4AOE7FOA 

EECB70509667A3CB052029C94EDF27611FAE286A7 

3* . 5 7 . 7 2 . £> 32 (mod n) = DE40CB6B41C01E722E4F312AE7205F18CDD 

0303EA52261CBOEA9F0C7E0CD5EC53D42E5CB645B6BB1A3BOOC77 

886F4AC5222F9C863DACA440CF5F1A8E374807AC 

3^ . 5 14 ,j\D M (mod n), c'est-a-dire, 3 2C . 5 E . T . D 40 (mod n) avec les 

exposants en hexa = FFDD736B666F41FB771776D9D50DB7CDF03F3D9 

76471B25C56D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C 

2 1 21 0C6B0449CC4292E5DD2BDB00828AF1 8 

On retrouve bien 1'engagement R. L'authentification est reussie. 

Voici un exemple pour le second jeu de cles. 

D 2 (mod n) = C66E585D8F132F7067617BC6DOOBA699ABD74FB9D13E 
24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC 

693F8395ACEF9206B172A8A2C2CCBB 

3 . D 2 .(mod n) = 534C61 14D385C3E15355233C5BOOD09C2490D1B8D8E 
D3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF38FBF20 

1D6D 13 8F3999FC1D06A2B2647D48283 

3 2 . D< (mod n) = A9DC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC1DDE0EB21F6F65978BE477C4231AC9B1EBD93D5D49422408E47 
15919023B16BC3C6C46A92BBD326AADF 

2 . 3 3 . £> 4 (mod n) = FB2D57796039DFC4AF9199CAD44B66F257A1FF 
3F2BA4C12B0A8496A0148B4DFBAFE838EOB5A7D9FB4394379D72A 

107E45C51FCDB7462D03A35002D29823A2BB5 

2 2 . 3 6 . D 8 (mod n) = 4C210F96FF6C77541910623B1E49533206DFB9E91 
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6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 
82A€B23DAF1A0D5A721A1890D03A00BD8 

2 2 . 3 7 . £> 8 (mod n) = E4632EC4FE456§FC4B3 126B15ADBF996149F2D 
BB42F6SD91 1D3851910FE7EA53DAEA7EE7BA8FE9D081DB78B249 

B IB 1 888061 6B90D4E280F564E49B270AE02388 

2 4 . 3' 4 . D" (mod n) = ED3DDC7 1 6AE3D 1EA74C5 AF935DE8 14BCC 

2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF 

665C17C399607DEA54E218C2C01A890D422EDA16FA3 

2 5 . 3' 4 . D 16 (mod n) = DA7C64E0E8EDBE9CF823B71 AB13F17E1 161487 

6B000FBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E562D0F5 

7 AE94AE0 AD3F3 5C6 1 C0892F4C9 1 DC0B08ED6F 

2 >° . 3 M . (taod««)^ 6E©6AFC5A87D2©DH 7B0E>89O*72C99FB9DC9 

5DtS i 8f65B'6^967E620^MA©BBAa3QGl^ 

2" :3* :*£> 32 tmod»«) «*? D3W®§MmmmBMWffl®&®0m59§3F73B92 

BAAB1ECB6D432CFCC4OFA95B77464OO3A7O5T46A0D364AD4OF8 

7AE4^®^6®«Pl4©BeiWm08^^S^B§A6A»4^t fc 

2 22 .3* . £>" (mod w) = A466D0CB17614EFD961000BD9EABF4F021 

36F8307 10 1 882BC 1 764DBAACB7 1 5EFBF5D8309AE00 1 EB5DEDA 

8F000E44B3D4578E5CA55797FD4BD1F8E919BE787BDO 

2" . 3 112 . D m (mod n) = 925B0EDF5047EFEC5AFABDC03A8309 19761 

B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 

8FDEC740778BDC178AD7AF2968689B930D5A2359 

2 44 3 ,u ^ng (mod . w) = 1D89C03FDEA8D1F889134A4F809B3F2D 

8207F2AD8213D169F2E99ECEC4FE08038900FOC203B55EE4F4C803 

BFB912A04F11D9DB9D076021764BC4F57D47834 

2 88 T3 226 r£> 236 (mod «) - 41 A83F4^9FFE4A2F4AC^E5P^A5.DpBEB4D4C 

08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 

FCC62802 1B4648D7EF757A3E461EF0CFFOEA1 3 
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2 n6 3452 D 5, 2 (mod n)> soit 4" . 9 ™ . £> 512 (mod «) = 28AA7F12259BFBA8 
1368EB49C93EEAB3F3EG6BF73B0EBD7D3FC8395CFA1AD7FC0F9D 
AC169A4F6F1C46FB4C3458D1E37C99123B56446F6C928736B17B4BA 

4A529 

On retrouve bien l'engagement R. L'authentification est reussie. 
Signature niimerique 

Le mecanisme de signature numerique pennet a une entity appelee 
signataire de produire des messages signes et a une entite appelee 
controleur de verifier des messages signes. Le message Mest une sequence 
binaire quelconque: il peut etre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou defis, ainsi que les reponses correspondantes. 
Le contr61eur dispose de la meme fonction de hachage, des parametres k et 
m et du module n. Les parametres k et m renseignent le controleur. D'une 
part, chaque defi elementaire, de d x a d m , doit prendre une valeur de 0 a 2*"- 
1 (les valeurs de v/2 a v-1 ne sont pas utilisees). D'autre part, chaque d6fi d 
doit comporter m defis elementaires notes de d x a d m , autant que de nombres 
de base. En outre, faute d' indication contraire, les m nombres de base, de g x 
a g m , sont les m premiers nombres premiers. Avec (k-l).m valant de 15 a 20, 
on peut signer avec quatre triplets GQ2 produits en parallele ; avec {k-\).m 
valant 60 ou plus, on peut signer avec un seul triplet GQ2. Par exemple, 
avec k= 9 et m = 8, un seul triplet GQ2 suffit ; chaque defi comporte huit 
octets et les nombres de base sont 2, 3, 5, 7, 1 1, 13, 17 et 19. 
L'operation de signature est une sequence de trois actes : un acte 
d'engagement, un acte de defi et un acte de reponse. Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : un engagement R 0), un 
defi d compose de m defis el6mentaires notes par d v d v ... d m et une 
reponse D 0). 

Le signataire dispose d'une fonction de hachage, du parametre k et de la cle 
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privee GQ2, c'est-a-dire, de la factorisation du module n selon Tune des 
trois representations evoquees ci : dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d'engagemenfret dcreponserde 
maniere a isoler les fonetions et les parametres^les**plus»seijsibles^ du 
demonstrateur. Pour calculer engagements-^ reponses^let^moin^dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon l'une des trois representations evoquees ci-dessus. Le 
temoin ainsi isole est semblable au temoin defini au sein du demonstrateur. 
II peut correspondre a une realisation particuliere, par exemple, • une carte 
a puce relive a un PC formant ensemble le signataire, ou encore, • des 
programmes particulierement proteges au sein d'un PC, ou encore, • des 

progranuiiesHpar^euli^ 

1) L'acte'dtengajsejnent-eompr^ 

Lorsque lert6i!fioimidis|K^ 

il tire au?liasard*&*enipr^ < »K puis, P*" k 

elevations^su6cessives»au"^ean;e-(ni©dw)i *il %aiisfortoe«chaque*alea r en un 

engagement*/?'.* 

R = r v (mod n) 

Lorsque le temoin dispose des / facteurs premiers de p, a p f et des m.f 
composantes privees il tire au hasard et en prive une ou plusieurs 
collections de /aleas : chaque collection comporte un alea r, par facteur 
premier p. (0 < r,</>,) ; puis, par k elevations successives au carre (mod/?,), 
il transforme chaque alea r, en une composante d' engagement/?,.. 

r?*- (mod p{y 

Pour chaque collection de/composantes d'engagement, le temoin etablit un 
engagement selon** la technique des restes chinois. II y a autant 
d'engagemenjtssque de collections d' aleas. . 

R = Restes Chinois(/?,, Z^, • . . R} 
2) L'acte de defi consiste a hacher tous les engagements R et le message a 
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signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusieurs defis comprenant chacun m defis elementaires ; 
chaque defi elementaire prend une valeur de 0 a v/2-1 ; par exemple, avec 
k = 9 et m = 8, chaque defi comporte hurt octets. II y a autant de d£fis que 

d'engagements. 

d= d l d 2 ... d m , extraits du resultat Hash(M, R) 

3) L'acte die n-epoimse comporte les operations suivantes. 
Lorsque la temoin dispose des m valeurs privees de Q, a Q m et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de l'acte 
d' engagement et les valeurs privees selon les defis elementaires. 

X^Qt .Qt 2 -Qt m (mod n) 
D = r.X (mod n) 

Lorsque le temoin dispose des / facteurs premiers de p i a p f et des m.f 
composantes privees Q IJt il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de l'acte 
d' engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

Xi^Qtyaii-Q^i (mod A ) 

DfS^.Jf,- (mod/?,) 
Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

D = Restes Chinois(£>,, D v ... D) 
Le sigmatafiire sigme Se message M en lui adjoignant un appendice de 
signature comprenant : 

_ ou bien, chaque triplet GQ2, c'est-a-dire, chaque engagement R, chaque 
d^fi d et chaque reponse D, 

- ou bien, chaque engagement R et chaque reponse D correspondante, 

- ou bien, chaque defi d et chaque reponse D correspondante. 
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Le deroulement de 1'op^ration de verification depend du contenu de 
l'appendice de signature. On distingue les trois cas. 

Au cas oik l'appendice comprend un ou plusieurs triplets, reparation de 
conrrdle comporte deux processus independants dont la chronologie est 
indifferente. Le controleur accepte le message sign6 si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit etre coherent (une relation appropriee du 
type suivant doit etre verifiee) et recevable (la comparison doit se faire sur 
une valeur non nulle). 

RY[G?'=D 2k (mod n) oubien R = D 2k .f[G? 1 (mod n) 
1=1 ' =1 
Par exemple, on transforme la reponse D par une sequence -d' operations 
elementaires : k carres (mod n) separes par k-l multiplications ou divisions 
(mod n) par des nombres de base. Pour la i ieme multiplication ou division, 
qui s'effectue entre le i ieme carr6 et le i+1 ieme carre, le / ieme bit du defi 
elementaire d x indique s'il faut uuliser g lt le / ieme bit du defi elementaire d 2 
indique s'il faut utiliserg 2 , ... jusqu'au / idme bit du defi elementaire d n qui 
indique s'il faut utiliser g m . On doit ainsi retrouver chaque engagement R 
present dans l'appendice de signature. 

D'autre part, le ou les triplets doivent dtre li6s au message M. En hachant 
tous les engagements R et le message Af, on obtient un code de hachage a 
partir duquel on doit retrouver chaque defi d. 

d = d t d 2 ... d a , identiques a ceux extraits du resultat Hash(M, R) 
Au cas ou l'appendice ne comprend pas de defi, l'operauon''de contrdle 
commence par la reconstitution de un ou plusieurs defls d' en hachant tous 
les engagements R et le message M. 

d' = d\ d\...d' % extraits du resultat Hash(Af, R) 
Ensuite, le contrdleur accepte le message sign6 si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est verifiee) et 
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recevable (la comparaison se fait sur une valeur non nulle). 

RY\Gf l =D 2 (mod n) oubien R = D 2 \\Gf 1 (mod n) 
«=i 1=1 
Au cas ou l'appendice nc comprend pas d'engagement, roperation de 

contrfile commence par la reconstitution de un ou plusieurs engagements R ' 
selon une des deux formules suivantes, celle qui est appropriee. Aucun 
engagement retabli ne doit Stre nul. 

R'=D 2 " /Y[G*' ( mod ") oubien R'=D 2 £1°?' ( mod n ) 

Ensuite, le contrSleur doit hacher tous les engagements R' et le message M 
de facon a reconstituer chaque d6fis d. 

d=d,d 2 ... d mt identiques a ceux extraits du resultat Hash(A/, R 0 
Le controleur accepte le message sign<5 si et seulement si chaque d6fi 
reconstitu6 est identique au defi correspondant figurant en appendice. 



Dans la presente demande, on a montre qu'il existait des couples de valeurs 
privee Q et publique G permettant de mettre en ceuvre le procSde, le 
systeme et le dispositif selon l'invention destin6 a prouver l'authenticite 
d'une entite et/ou l'integrite et/ou l'authenticite d'un message. 
Dans la demande pendante.deposee le meme jour que la presente demande 
par France Telecom, TDF et la Societe Math RiZK et ayant pour inventeurs 
Louis Guillou et Jean-Jacques Quisquater, on a decrit un precede pour 
produire des jeux de cles GQ2, a savoir, des modules n et des couples de 
valeurs publique G et privee Q dans le cas ou l'exposant v est egal a 2*. EUe 
est incorporee ici par reference. 
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Revendications 

1. Procede destine a prouver k une entite controleur, 

- F authenticity d'une entity et/ou 

- Fintegrite d'un message M associ£ k cette entity 

au moyen de tout ou partie des parametres suivants ou d6riv£s de ceux-ci: 

- m couples de valeurs privees Q l9 Q 2 , ... Q m et publiques G 19 G 2 , ... 
G m (m etant sup6rieur ou 6gal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi* P25 • • • Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant U6s par des relations du 
type : 

Gfi Q£ = 1 . mod n ou Gi = Q^mod n ; 
ledit exposanfcv etanfetel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique G| etant le carre g f 2 d'un nombre de base gj inferieur 
aux f facteurs premiers p 15 p 2 , . . . p f ; le nombre de base & etant tel que : 

les deux equations : 

x 2 = gj mod n et x 2 = -g i modn 
n'ont pas de solution en x dans l'anneau des entiers modulo n 
et tel que : 

T equation : 

x v = gj 2 mod n 

a des solutions en x dans Tanneau des entiers modulo n ; 
ledit proc6d£ met en ceuvre selon les etapes suivantes une entit6 appel^e 
temoin disposant desdF facteurs premiers -p, et/ou des^paj^^tr^swdes restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privies Qi et/ou des fan composantes Q u (Q u j = Qi mod pj) des valeurs 
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privees Q, et de V exposant public v ; 

- le temoin calcule des engagements R dans Tanneau des entiers 
modulo mi ; chaque engagement etant calcule : 

o soit en effectuant des operations du type 

R = r v mod m 
ou rest un alea tel que 0 < r< m, 
° soit 

oo en effectuant des operations du type 
Rj = mod pj 

ou r, est un alea associe au nombre premier ^ tel que © < ir, < jft , chaque r, 
appartenant a une collection d'aleas {jc x 9 r 2 9 ... r f } , 

00 puis en appliquant la methode des restes chinois ; 

- le temoin re$oit un ou plusieurs defis d ; chaque defi d comportant 
m entiers d, ci-apres appeles defis elementaires ; le temoin calcule a partir de 
chaque d6fl d-une reponse D, 

0 soit en effectuant des operations du type : 

ID) = r . <Q>! dl 0 Q 2 o o . Q m mod na 

0 soit 

°° en effectuant des operations du type : 
D, = r, . Q Kl dl . dl . ... Qi, m dm mod p, 

00 puis en appliquant la methode des restes chinois ; 
ledit precede etant tel qu'il y a autant de reponses B que de d6fis d que 
d'engagements R, chaque groupe de nombres R, d, D constituant un 

triplet note {R, d 9 D}. 

2. Precede selon la revendication 1 destine a prouver l'authenticit6 
d'une entit6 appelee demonstrateur a une entite appelee controleur, ladite 
entite demonstrateur comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les etapes suivantes : 
o ©tape 1 1 acte d'enagagemeinittR 



53 



- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

- le demonstrates transmet au controles tout ou partie de chaque 
engagement R, 

• etape 2 : acte de d£fi d 

- le contrdles, apres avoir re?u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et 
transmet les defis d au demonstrates, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des d6fis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de controles 

- le demonstrates transmet chaque reponse Dau controles, 

cas ou le demonstrate ur>a transmis une partie de chaque engagement R 
dans le cas ou le demonstrates a transmis une partie- de chaque 
engagement R, le controles, disposant des m*valess publiques G 19 G 2 , ... 
G m , calcule a partir de- chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' = G, dI . Gt 62 . ... G m dm . D v modn 
ou a une relation du type, 

R> = D v / G x dl . G 2 * . . . G m *■ . mod n , 
le controles verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
cas ou le demonstrateur a transmis Pintegralit6 de chaque engagement 
R 

dans le cas ou le demonstrates a transmis 1' integrality de chaque 
engagement R, le controles, disposant des m valess publiques G„ G 2 , ... 
G m , verifie que chaque engagement R satisfait a une relation du type : 
R = Gi dl .G 2 d2 ....G m dm .D v modn 
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ou a une relation du type, 

R = B V / G 1 dl . G 2 ... G m *" . modi m . 

3. Procecle selon la revendication 1 destine a prouver a une entity 
appelee controleur l'integrite d'un message M associe a une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entites demonstrateur et controleur executant les etapes suivantes : 

o etape 1 : act© dl'emgagemeimt R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific selon la revendication 1, 

o etape 2 : act® die dleffl d 

- le ddmonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement M pour 
calculer au moins un jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le contrdleur, apres avoir recu un jeton T, produit des d^fis dl en nombre 
egal au nombre d' engagements R et transmet les defis dl au demonstrateur, 

o (£tape 3 : act© die reporase ID 

- le temoin calcule des reponses U> a partir des defis dl en appliquant le 
processus specifie selon la revendication 1, 

p etape 4 : acte de comitrole 

- le demonstrateur transmet chaque reponse P au controleur, 

- le controleur, disposant des m valeurs publiques G„ G 2 , ... G m , calcule a 
partir de chaque defi dl et de chaque reponse D un engagement reconstruct 
R' satisfaisant a une relation du type : 

R' = G, dl . G 2 * . G m *■ . B v modi n 

ou a une relation du type : 

R' = B v /G 1 dl .G 2 d2 ....G m d,n . modlim 

- puis le controleur applique la fonction de hachage In ayant comme 
arguments le message M et tout ou partie de chaque engagement 




reconstruit R 5 pour reconstruire le jeton T% 

- puis le controleur verifie que le jeton T 5 est identique au jeton T transmis. 

4. Procede selon la revendication 1 destine k produire la signature 
numerique d'un message M par^une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 

Operation de signature 

ladite entite signataire execute une operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ladite entite signataire execute 4'operation de signature en mettant en 
oeuvre4estetape,s-suivantest*K 

• etape*l : acteitdiehgagement^R ^ 

- a chaque appelate temoin^ealeMeiehaqu^^ le 
processussspeeifi&se^ 

• 6 taper! § actetdeld&Iid ^ 

- le signataire^appli^ue une^fonetion^de^haehage^ ayant^comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
nombre d* engagements R, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1 . 

5. Procede selon la revendication 4 destine k prouver-4' authenticity 
du message M en controlant, par~une-entit6 appel^e controleur, le message . 
sign&j* 

Operation de contrdle 

ladite entit6 controleur disposant du message signe execute une operation 
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de controle en procedant comme suit : 

° cas om le coettroflemur dispose dies engagemeimtts R, dies defas d 9 dies 
mSpomises B 9 

dans le cas ou le controleur dispose des engagements R, des defis dl^ des 
reponses B 9 

o o le controleur verifie que les engagements R, les defis d et les 
reponses B satisfont a des relations du type 

R = G x dl . G 2 d2 . ooo G m *" • B v mod mi 
ou a des relations du type : 

R = B v /G 1 dl .G 2 d2 ....G m ltal . modna 
° ° le controleur verifie que le message M, les defis d et les 
engagements R satisfont a la fonction de hachage 

d = h (message, R) 
° cas om le cosuttroletmr dispose des defe d ett des repomses B 
dans le cas ou le controleur dispose des defis d et des reponses B 9 

o o le controleur reconstruit, a partir de chaque defi d et de chaque 
reponse B, des engagements W satisfaisant a des relations du type : 

W = G t dl • G 2 dl o ... G m dm oB v mmodiin 
ou a des relations du type : 

R 9 = B v /G 1 dl .G 2 d2 ooooG m d,n o modi 
° ° le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

& = h (message 9 R 9 ) 
o cas om He comtroleur dispose des eugagemeBtts R ett des repomses B 
dans le cas ou le controleur dispose des engagements R et des reponses B 9 
ooje controleur applique la fonction de hachage et reconstruit d 9 

d 9 = h (message 5 R) 
° ° le controleur verifie que les engagements R, les defis d 9 et les 
reponses B, satisfont a des relations du type : 
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R = Gl dl . G 2 d ' 2 . ... G m d m . D v mod n 

ou a des relations du type : 

R = DVG/' 1 : G 2 d ' 2 . ... d ; m r moin 
6. Systeme destine & prouver a un serveur controleur, 

- Fauthenticite d'une entite et/ou 

- F integrity d'un message M associe a cette entity 

au moyen de tout ou partie des parametres suivants ou d&iv6s de ceux-ci: 

- m couples de valeurs privees Q 15 Q 2 , ... Q m et publiques G 19 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi» Pv ••• Pf stent superieur ou egal a 2), 

- un exposant publie-v ; 

ledit modulef lediti exposant et lesdites*valeurs etant ltes^par des relations du 
type : 

Gp&fim 1 . mod n ou Gf= Q^mod n ; 

ledit exposant v etaiiMel^que*^ 

v = 2 k r 

ou k est un parametre de s^curite plus grand que 1 ; 

ladite valeur publique Gj etant le carre a 2 d'un nombre de base g x inferieur 
aux f facteurs premiers p 19 p 2 , . p f ; le nombre de base & etant tel que : 

les deux equations : 

x 2 = gj mod n et x 2 = - & mod n 
n'ont pas de solution en x dans Fanneau des entiers modulo n 
et tel que : 

F equation : 

x v = g 2 mod n 

a des solutions en x dans, Fanneau des^entders modulo n ; 

ledit systeme comprend un dispositif temoin, notamment contenu dans un 

objet nomade se presentant par exemple sous la forme d'une carte bancaire 
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a microprocesseur, 

le dispositif temoin comporte 

. xine zone memoire contenant les ff facteurs premiers p, et/ou les 
parametres des restes chinois des facteurs premiers et/ou le module public na 
et/ou les mm valeurs privees Q { et/ou les 1m composantes Q ul (Q^ j s Q, mniod 
Pj) des valeurs privees Q s et Fexposant public v ; 
ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo m ; chaque engagement etant calculi : 

° soit en effectuant des operations du type 
R = r v modl m 

ou r est un alea produit par les moyens de production d'ateas, r etant tel 
que ©< r< nn, 

° soit en effectuant des operations du type 
Rj = rj v mod p, 

ou ir^est un alea assocte au nombre premier p, tel que © < ir, < Pi , chaque ir, 
appartenant h une collection d'aleas {ir^ 9 r 25 .,o r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
ledit dispositif temoin compprte aussi : 

- des moyens de reception, ci-apres designes les moyens de 
reception des defis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque defi d comportant m entiers dj ci-apres appetes defis 
el&nentaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses B du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 
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• soit en effectuant des operations du type : 

D = r • Q t dl . Q 2 * . . • Q m *" mod n 

• soit en effectuant des operations du type : 

E>i = i, . Q M dl . . . • *" mod' a 
puis en appliquant la methode des restes chinois, 

- des moyens de transmission pout transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d' engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

7. Systeme selon la revendication 6 destine a prouver 1' authenticity 
d'une entite appelee demonstrateur a une entity appelee controleur, 
ledit systeme 6tant tekqu'il comported 

- un dispositif demonstrateur assocte k Fentitd d&nonstrateur, ledit 
dispositif demonstrateur^etant interconnect^ au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'un microprocesseur dans une-carte bancaire a microprocesseur, 

- un dispositif controleur associe a 1' entite contrdleur, ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant, ledit dispositif controleur comportant des moyens de 
connexion pour le connecter eiectriquement; electxomagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'ex6cuter les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres design6s 
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les moyens de transmission du dispositif tdmoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif demonstrateur, via les moyens 
d' interconnexion, 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres d6signes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion ; 

o etape 2 : acte die deffi d 
le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R 9 
le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designSs les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

o ©tape 3 i acfte de ir^ponnse B 
les moyens de reception des d6fis d du dispositif temoin, re^oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
dMnterconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses B a partir des defis d en appliquant le processus sp6cifi6 selon la 
revendication 1, 

o etape 4 : acte de coMthrfile 
les moyens de transmission du demonstrateur transmettent chaque reponse 
B au controleur, 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres d6sign6s les moyens de 
comparaison du dispositif controleur, 
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cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G l9 G 2 , ... G^ calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R> satisfaisant a une relation du type : 

R' = G, dl . G 2 * . . . G m *■ • D v mod n 
ou a une relation du type, 

R' = D v / G x dl . G 2 * ... G m . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R* k tout ou partie de chaque engagement R re$u, 
cas ou le demonstrateur a transmis TintSgralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif contrdleur, disposant des m valeurs publiques 
G 15 G 2 , ... G^ verifient que chaque engagement R satisfait a une relation 
du type : 

R = G X dl . G 2 * ... G m dm . D v mod n 
ou a une relation du type, 

R = D V /G! dl . G^. ... G m dm . mod n . 

8. Systeme selon la revendication 6 destinS k prouver k une entity 
appelee controleur Tintegrite d'un message M associe a une entity appetee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

-un dispositif demonstrateur associe k Tentite demonstrateur, ledit 
dispositif demonstrateur etant interconnect^ au dispositif temoin par des 
moyens d' interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 



forme d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a Tentite controleur, ledit dispositif 
controleur se presentant notamment sous la forme d'un te rminal ou d'un 
serveur distant, ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement; electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un r£seau de 
communication informatique, au dispositif d&nonstrateur ; 
ledit systeme permettant d'executer les etapes suivantes : 

o fttape 1 : actie d'emigagemeEt R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp^cifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif demonstrateur, via les moyens 
d' interconnexion, 

o (§tai]pe 2 t act© d<£ d(§ffi d 
le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant une fonction 
de hachage In ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au morns un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif demonstrateur, 
pour transmettre chaque jeton T 9 via les moyens de connexion, au 
dispositif controleur, 

le dispositif controleur comporte aussi des moyens de production de defis 
pour produire, apres avoir refu le jeton T, des defis d en nombre egal au 
nombre d' engagements Rg 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
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designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin^reeoivent- chaque 
defi d provenant du dispositif demonstrateur, via* les moyens 
d * interconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus sp6cifi6 selon la 
revendication 1, 

• etape 4 : acte de controle 

les moyens de transmission du d&nonstrateur transmettent chaque reponse 
D au controleui^ 

le dispositif contrSleur^comporte aussi des^moyens^de- calcul, ci-apr£s 
designes les^moyensMde calcul^du^dispositif controlieuiv^disppsant des m 
valeurs publiquss G%JG# G^, pour, d'une^pai%^calculeE*a partir de 
chaque defi d et *de chaque reponse D un- engagement reeonstruit R' 
satisfaisant A une relation du type : 

R'»= G, dl fGa^.t.. G m *■ :D v *mod n 
ou a une relation du type : 

R' = DVG 1 dl .G 2 d2 ....G m dm . modn 
puis d' autre part, calculer en appliquant la fonction de hachage h ay ant 
comme arguments le message M et tout ou partie de chaque engagement 
reeonstruit R% im jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-aprfcs 
design6s les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule T' au jeton T re9u. 

9. Systeme selon la revendication 6 destin6 k produce la signature 
numerique d'un message M, ci-apres design^ le message sign6, par une 
entit6 appelde entity signataire ; 



le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses B ; 

Operaltsomi die sigBnattmire 

ledit systeme etant tel qu'il comporte un dispositif signataire associe a 
1'entite signataire, ledit dispositif signataire etant interconnect^ au 
dispositif temoin par des moyens d'interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systeme permettant d'executer les etapes suivantes : 

o etape 1 1 actte d'emgagemnieinit R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d' interconnexion, 

o ettape 2 t acte de deffi d 
le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R 9 pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R 5 

o etape 3 : acte de irepoimse ID ■ 
les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
d6fi d provenant du dispositif signataire, via les moyens d'interconnexion, 
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les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendicationwls 

le dispositif temoin* comporte des moyens de transmission, ci-apres designes 
les -moyens* de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d'interconnexion. 

10. Systeme selon la revendication 9 destine a prouver F authenticity 
du message M en controlant, par une entite appelee controteur, le message 
signe; 

Operation de contrdle 

ledit systeme etant tel qu'il comporte un dispositif controleur associe a 
r entity ^ojalsMei^ledit^dispQ.sitif controlijur se pr^sentant^notamment sous 
la fomie*d'u^ seryeurwdistantv.ledit dispositif controleur 

comportamtafdes^m electriquement, 
electromagnetiquement^ optdquement«r ou de% mani&re«r acoustique, 
notammenttwia^un reseau**de^communication informatique^ au dispositif 
signataiire*** 

le dispositif signataire associe a T entite signataire comporte des moyens de 
transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements^ 

- les reponses-D ; 

le dispositif controleur comporte : 

- des -moyens de calcul, ci-apres designes -*les ,^Q^pns^e calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
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comparaison du dispositif controleur, 

° cas ou Be dispositif conntroleiuir^dispose des enngageinnieiflitts des deffas d^ 
des repomises D 9 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
5 d 9 des reponses B 9 

° ° les moyens de calcul et de comparaison du dispositif controleur 
v£rifient que les engagements R 5 les defis d et les reponses B satisfont a des 
relations du type 

Q lEG 1 dl oG2 d2 o,o,G ra dm .D v modm 
10 ou k des relations du type : 

R = D V /Gj d, X 2 d2 0 oooG m dm o modn 
° ° les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont k la 
fonction de hachage 
15 d = In (message ? R) 

° cas oua le dispositif coimtrolleiiiiir dispose des deifis d ett des repomses B 
dans le cas ou le dispositif controleur dispose des defis d et des reponses B 9 
° ° les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse B, des engagements W satisfaisant a 
^) 20 des relations du type : 

R 9 = G x dl . G 2 ooo G m *" . B v mod m 
ou k des relations du type : 

R 9 = B v /G 1 dl .G 2 d2 .. 00 G m dn, o modna 
° o les moyens de calcul et de comparaison du dispositif controleur 
25 verifient que le message M et les defis d satisfont a la fonction de hachage 

dl = h (message, R 9 ) 
° cas ou le dispositif cojatroleuinr dispose des emgagemniemtts R et des 
reponases B 

dans le cas ou le dispositif controleur dispose des engagements R et des 
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reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (message, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G x 61 . G 2 d ' 2 . ... G m d m . D v mod n 
ou a des relations du type : 

R = D v / Gj d l . G 2 « ... G m dm . mod n 
11. Dispositif terminal assocte a une entite, se presentant notamment 
sous la forme d'un^objet nomade par^exemple^ sous la forme-d'une carte 
bancaire a mieroprpcesseur, destine k prouver a un dispositif controleur, 

- 1 ' authenticity de I 'entity et/oum 

- Fintegrite^d'un message; M*assoeie a cette entite- 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m eouples'dewaleurs priveesnQ^ Q i9 ... Q m et publiques G l9 G 29 ... 
G m (m etant superieur ou egal a 1), 

- im module public n constitue par le produit de f facteurs premiers 
P15 P29 Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G, . Qj v s 1 . mod nouGj = Q^mod n ; 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique G s etant le carr6 g* d'un nombre de base gj inferieur 
aux f facteurs premiers pj, p 2 , ... p f ; le nombre de base g s 6tant tel que : 




les deux equations : 

x 2 = gj mod m et x 2 = - g| mmodl mi 
n'ont pas de solution en x dans l'anneau des entiers modulo m 
et tel que : 

l'equation : 

s v = gj 2 mniodl m 

a des solutions en x dans l'anneau des entiers modulo na ; 

ledit dispositif terminal comprend un dispositif temoin comportant, 

- une zone memoire contenant les ff facteurs premiers p x et/ou les 
parametres des restes chinois des facteurs premiers et/ou le module public m 
et/ou les mm valeurs privees Q, et/ou les f.m composantes Q^j (Q^ j = Q t mod 
Pj) des valeurs privees Q, et l'exposant public v ; 

ledit dispositif temoin comporte aussi 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin,, 

- des moyens de calcul, ci-apr6s designes les moyens de calcul des 
engagements R du dispositif temoin, povir calculer des engagements R dans 
l'anneau des entiers modulo un ; chaque engagement etant calcule : 

° soit en effectuant des operations du type 
Rs r v modl m 

ou r est un alea produit par les moyens de production d'aleas, r etant tel 
que©<r<m, 

° soit en effectuant des operations du type 

ou r, est un alea associe au nombre premier pj tel que 0 < r, < Pi , chaque r t 
appartenant a une collection d'aleas {r x , r 2 9 o,o r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de 
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reception des defis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque defi d comportant m Sntiers % ci-apres appeles defis 
elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour caleuler k partir de chaque defi d une 
reponse D, 

• soit en effectuant des operations du type : 

D = r . Q t dl . Q 2 d2 . . . . Q m dm mod n 

• soit en effectuant des operations du type : 

I>i = r, . Q M dI . Q M * . . . *" mod Pl 
puis en appliquant la methode des restes chinois, 

- des moyens de transmission pout transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defied que d'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R^d, D}. 

12. Dispositif terminal selon la revendication 11 destine a prouver 
Tauthenticite d'une entite appelee demonstrateur^a une entite appel6e 
controleur, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a Tentite demonstrateur, ledit dispositif demonstrateur etant 
interconnect^ au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microproeesseury 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment --via* un r^seau H de communication 
informatique, au dispositif controleur associe £ 1* entite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
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ou d'un serveur distant ; 

ledit dispositif terminal permettaat d'executer les etapes suivantes : 

o ©tape 1 t act© d'eimgagemflieinit R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp6cifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres design6s 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif demonstrates, via les moyens 
d' interconnexion, 

le dispositif demonstrates comporte aussi des moyens de transmission, ci- 
apres design^s les moyens de transmission du demonstrates, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controles, via les moyens de connexion ; 

o eilapes 2 ett 3 t acte die dleiS d 9 actte die mSpcmnse B 
les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
defi dl provenant du dispositif controles via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrates et via les moyens 
d'interconnexion entre le dispositif demonstrates et le dispositif temoin, 
les moyens de calcul des reponses B du dispositif temoin, calculent les 
reponses B a partir des defis d en appliquant le processus specific selon la 
revendication 1, 

o etape 4 s acte die comitirSEe 
les moyens de transmission du demonstrates transmettent chaque reponse 
B au dispositif controles qui precede au controle, 

13o Dispositif terminal selon la revendication 11 destine a prouver a 
une entite appelee controles Fint6grite d'un message M assocte h une 
entite appelee demonstrates, 

ledit dispositif terminal etanttel qu'il comporte un dispositif demonstrates 
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associe a l'entite demonstrateur, ledit dispositif d&nonstrateur 6tant 
interconnecte au dispositif temoin par des moyens' d'interconnexion et 
pouvant se presenter notamment sous la foraie de microcircuits logiques 
dans un objet nomade par exemple sous la foraie d'un microprocesseur 
dans une carte bancaire k microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a l'entite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les 6tapes suivantes : 

• ^tape 1 : acte d' engagement R% 

k chaque appel, les ^moyens de calcul des engagements R *du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication i, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pom* transmettre tout ou 
partie de chaque engagement R au dispositif demonstrateur, via les moyens 
d' interconnexion, 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant une fonction 
de hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins \m jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif demonstrateur, 
pour transmettre chaque jeton T, via les moyens de connexion, au 
dispositif controleur, 




(ledit dispositif controleur produit, apres avoir regu le jeton T 9 des defis 
& en nombre egal au nombre d 9 engagements R 9 ) 

les moyens de reception des defis d du dispositif temoin, refoivent chaque 
defi dl provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses B du dispositif temoin, calculent les 
reponses B a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

o £ttape 4 t actfe die conMfrrSle 
les moyens de transmission du demonstrateur transmettent chaque reponse 
B au dispositif controleur qui precede au controle. 

14* Dispositif terminal selon la revendication 11 destine a produire la 
signature numerique d^un message ML, ci-apr6s design^ le message sign6, 
par une entite appelee entite signataire ; 
le message sign6 comprenant : 

- le message M, 

- les defis d et/ou les engagements M, 

- les reponses B ; 

ledit dispositif terminal etant tel qu'il comporte im dispositif signataire 
associe a 1' entite signataire, ledit dispositif signataire etant interconnecte au 
dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de com m u n ication 
informatique, au dispositif controleur associe a Tentite controlexir, ledit 
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dispositif contrdleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 
Operation de signature 

ledit dispositif terminal permettant d'ex6cuter les etapes suivantes : 

• etape 1 : acte d'engagement R > 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-aprds design6s 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d'interconnexion, 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une- fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, refoivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-aprfes design6s 
les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d'interconnexion. 

15. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite controleur, 




destine a controler : 

- r authenticity d'une entite et/ou 

- rintegrite d'un message M associe a cette entit6, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs publiques G 19 G 29 oo G m (mm etant superieur 
ouegalal), 

- un module public in constitue par le produit de f facteurs premiers 
Pi? P2> Pf OF 6tant superieur ou egal a 2) inconnus du dispositif controleur 
et de T entite controleur associe, 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type: 

' G, o Qj V = 1 o mod m ou G { = Qj v inniod un ; 
ou Q f designe une valeur privee, inconnue du dispositif controleur, 
associee a la valeur publique Gj , 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de security plus grand que 1 ; 

ladite valeur publique G x etant le caixe g 2 d'un nombre de base gj inferieur 
aux ff facteurs premiers p 19 p 29 o «, • p f ; le nombre de base g { etant tel que : 

les deux equations : 

x 2 = gj mod p et = - g| mod un ' 

n'ont pas de solution en x dans Tanneau des entiers modulo m 
et tel que : 

r equation : 

x v = g 2 mod m 

a des solutions en x dans Panneau des entiers modulo m ; 

16. Dispositif controleur selon la revendication 15 destine a prouver 
Pauthenticite d'une entit6 appelee demonstrateur a une entite appelee 
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controleur ; ' 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un r6seau de communication 
informatique, a un dispositif demonstrateur associee a l'entit<§ 
demonstrateur ; 

ledit dispositif controleur permettant d' exporter les Stapes suivantes : 

• etapes 1 et 2 : acte d' engagement R, acte de defi d 

ledit dispositif contrdleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de production de d<§fis pour 
produire, apres avoir recu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R, chaque d6fi d 
comportant m entiers d, ci-apres appeles defis el6mentaires, 
le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etapes 3 et 4 : acte de reponse D, acte de controle 
ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion 

- des moyens de calcul, ci-apres designes les moyens de calcul du 

dispositif contr61eur, 

- des moyens de comparison, ci-apres designes les moyens de 

comparaison du dispositif contrdleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de reception du dispositif contrdleur ont recus 
une partie de chaque engagement R, les moyens de calcul du dispositif 




controleur, disposant des m valeurs publiques G v G 29 ooo G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R* satisfaisant a une relation du type : 

R 9 = G t dl .-G 2 ooo G m dm oB v modi m 
ou a une relation du type, 

W = D v / G x dl . G 2 o . . G m ** . modi m , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R 9 a tout ou partie de chaque engagement R re?u, 
cas ou le d^momstrateuHr a ttramsoiis PlMtegralite de chadpae engagement 
R 

dans le cas ou les moyens de reception du dispositif controleur ont re?us 
Pintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des mm valeurs publiques 
G,3 G 29 ooo G^ verifient que chaque engagement R satisfait k une relation 
du type : 

R = G, dl . G 2 **. ooo G m dm oD v mod nn 
ou a une relation du type, 

R = B v / G t dl . G 2 **. o o o G m *" o mod m . 
17. Dispositif controleur selon la revendication 15 destin6 k prouver 
l'integrite d'un message M associe a une entite appelee demonstrateur, 
ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associee a T entity 
demonstrateur ; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 

o Stapes 1 et 2 t acte d 9 engagement Rj acte de defi d 
ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du dispositif demonstrateur, via les moyens de 



77 



connexion, 

le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re?u le jeton T, des defis d en nombre egal au nombre 
d' engagements R, chaque defi d comportant m entiers dj ci^apres appeles 
defis elementaires ; 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etapes 3 et 4 : acte de reponse D, acte de controle 
ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexiony* 

- des moyens^de calcul, ci^api^s^designes les moyens de calcvil du 
disp@sit^ G 2 , G m , pour 
d'une*«pait; calculer*a partir de *ehaque*defl d et de chaque reponse D un 
engagement reconstruit R' satisfaisanta une relation du type : 

R^Gi dl f Gi***.. Gk* 1 " . D v mod n > 
ou a une relation du type : 

R' = D v /G 1 dl .G 2 d2 ....G m dm . modn 
puis d'autre part, calcxiler en appliquant une fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T% . 
le dispositif controleur comporte aussi 

- des moyens de^comparaiso% ci-apres designes les -moyens de 
comparison du dispositif controleur, pour comparer le jeton calculi T 5 au 
jeton re?u. 

18. Dispositif e&ntroleur selon4a revendication 15 destin6 k prouver 
Tauthenticite du message M en controlant, par une entite appelSe 
controleur, un message signe; 




le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (message, R) , 
comprenant : 

- le message M, 

- des defis d et/ou des engagements R, 

- des reponses ED ; 

Opiratioim die conattrdfle 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif signataire associee a r entite signataire ; 
ledit dispositif controleur ayant re?u le message sign6 du dispositif 
signataire, via les moyens de connexion, 
le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

° cas om le dispositiff conntrdleimir dfispose des enngagememits des. deiSs. d, 
des repoinises B 9 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d 9 des reponses B 9 

° ° les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses © satisfont a des 
relations du type 

RsG, dl 0 G 2 d2 o ... G m . B v mod m 
ou a des relations du type : 

R = B v /G 1 dl -G 2 d2 coooG m dm . modi 
° ° les moyens de calcul et de comparaison du dispositif controleur 
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verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (message, R) 

• cas ou le dispositif controleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R> = G, dl . G 2 ... G m . D v mod n 
ou a des relations du type : 

R' = DVG 1 dl .G 2 d2 ..„G in dn \ modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 

• cas ou le dispositif controleur dispose des engagements R et des 
reponses D 

dans le cas ou le dispositif contrdleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (message, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G t d l . G 2 d 2 . ... G m d m . D v mod n 
ou a des relations du type : 

R = D V /G 1 d l . G 2 d ' 2 . ... G m d m . mod n 
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Procede destine a prouver rauttaenlticite d T une entite on 1'integrite d'un message 

am moyen d'un exposant public egal a ume puissance de deux<> 
La presente invention concerne les precedes, les systemes ainsi que les 
dispositifs destines a prouver F authenticity d'une entite et/ou Fintegrite 
et/ou F authenticity d'un message. 

Le brevet EP 0 31 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procedS. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ" ou " procede GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le procede GQ, une entite appelee " autoritt de confiance " attribue 
une identite a chaque entite appelee " temoin " et en calcule la signature 
RSA; durant un processus de personnalisation, Fautorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
" Void mon identite ; j'en connais la signature RSA. " Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace a la cle 
publique de verification RSA distribute par Fautorite de confiance, une 
entity appelee " controleur " verifie sans en prendre connaissance que la 
signature RSA correspond a Fidentite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent " sans transfert de connaissance ". Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
Fautorite de confiance signe un grand nombre d'identites. 
La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas une equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives" contre les 
diverses normes de signature numerique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
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